AWS ha annunciato la connessione senza tunnel sulla WAN cloud. In questo documento vengono descritti i componenti di AWS e viene illustrato come configurare per AWS e VMware SD-WAN.

La nuova funzionalità AWS CloudWAN CNE Connect che utilizza la funzionalità BGP senza tunnel offre un modo più semplice per creare una rete SD-WAN globale utilizzando AWS Backbone come rete di trasporto del miglio intermedio. Grazie a questa funzionalità, le appliance VMware SD-WAN possono eseguire il peering nativo con AWS Cloud WAN utilizzando BGP (Border Gateway Protocol) senza richiedere protocolli di tunneling come IPSec o GRE. Ciò semplifica l'integrazione di SD-WAN del cliente nel cloud AWS e consente loro di sfruttare il backbone AWS con larghezza di banda elevata per la connettività da filiale a filiale in regioni geografiche diverse. Questa funzionalità supporta anche la segmentazione di rete integrata, consentendo ai clienti di creare un SD-WAN sicuro su scala globale.

VMware SD-WAN Edge virtuali (vEdges) vengono in genere distribuiti in ciò che AWS chiama un VPC di trasporto. Questo VPC di trasporto può quindi eseguire un peering con altri VPC, TGW o, in questo caso, un CNE (Cloud Network Edge) nel backbone WAN cloud per ottenere la connettività con le risorse ospitate dal cliente in AWS.

Per Cloud WAN CNE Connect, i vEdge di cui è stato eseguito il provisioning nel VPC di trasporto utilizzeranno l'interfaccia verso LAN (instradata, non WAN) per stabilire un peering BGP L3 nativo (ovvero non incapsulato) con il CNE.

Componenti di AWS

In AWS sono necessari 6 componenti principali:
  • Rete core WAN cloud (Cloud WAN Core Network)
  • Definizione del criterio
  • Edge di rete principale (CNE)
  • VPC di trasporto
  • Collegamento VPC
  • Collegamento Connect

Ciò presuppone che il cliente disponga già di altre risorse in altri VPC AWS che utilizzano il peering VPC verso le CNE nella rete principale. In caso contrario, è necessario definire la rete core e le CNE e creare gli allegati ai VPC del carico di lavoro esistenti del cliente.

Configurazione di AWS

  1. Utilizzando la seguente VMware documentazione online per creare vEdges in un VPC AWS:
    1. Guida alla distribuzione dell'Edge virtuale
    2. Modello VMware SD-WAN AWS CloudFormation - Campo verde
    3. Modello VMware SD-WAN AWS CloudFormation - Brown Field
  2. Nella console AWS, è necessario utilizzare AWS Network Manager per creare una rete globale, se non ne esiste già una nella distribuzione AWS del cliente.
  3. Creare una versione del criterio.
    1. In una versione del criterio vengono definiti e configurati i dettagli chiave della soluzione, come illustrato nell'immagine seguente.
    2. Immettere gli intervalli ASN BGP utilizzati dei CNE.
    3. Nei "Blocchi CIDR interni" globali, le CNE ottengono i rispettivi blocchi CIDR interni definiti. Immettere il CIDR nella casella di testo appropriata, come illustrato nell'immagine seguente.
    4. Cercare Posizioni dell'Edge (Edge locations) nella casella di testo appropriata, come illustrato nell'immagine seguente. Le posizioni del CNE definiscono la zona di disponibilità di AWS specifica in cui verrà creata un'istanza del CNE.
      Nota: L'ASN e i blocchi CIDR interni per ogni posizione dell'Edge vengono definiti all'interno dell'intervallo definito in precedenza per la rete globale.
    5. Cercare Segmenti (Segments) nella casella di testo appropriata, come illustrato nell'immagine seguente. I segmenti logici vengono definiti utilizzando i tag. I VPC e le subnet possono essere contrassegnati per definire a quali segmenti sono membri. In questo esempio, il formato è Chiave = "Segmento", Valore = "SDWAN", anche se il valore è arbitrario.
      Nota: Qualsiasi valore utilizzato deve corrispondere al valore definito nel criterio.
    6. I criteri di collegamento specificano quali segmenti fanno parte degli allegati VCP e Di connessione e quali criteri vengono utilizzati. Cercare i Criteri di attacco (Attachment Policies) nella casella di testo appropriata, come illustrato nell'immagine seguente. Nell'esempio seguente, una condizione "tag-value" definisce l'appartenenza al segmento "SD-WAN" definito in precedenza. I "Valori condizione" sono la coppia chiave-valore definita anche in precedenza. Affinché diventino membri del segmento, questa coppia chiave-valore deve essere presente nei VPC e/o nelle subnet.
      Nota: Si tratta probabilmente della parte meno intuitiva e più soggetta a errori dell'intera configurazione. Se non vengono visualizzate route dai VPC del carico di lavoro remoti, selezionare questa opzione. Altre configurazioni e condizioni sono possibili, ma questo è ciò che ha funzionato nei test di laboratorio.
  4. Allegati CNE: sono stati utilizzati due tipi di allegati, ovvero Collegamento VPC e Collegamento connetti.
    1. Collegamenti VPC: ogni VPC di trasporto SD-WAN avrà un collegamento VPC al rispettivo CNE. Quando viene creato il collegamento VPC, è necessario specificare almeno una subnet all'interno del VPC. In questo esempio, il CNE nella zona di disponibilità us-west-1 è in peer con la subnet LAN privata del VPC di trasporto SD-WAN. È necessaria anche una coppia chiave-valore che definisca l'appartenenza al segmento.

      Se il criterio è stato configurato correttamente, il collegamento dovrebbe indicare che è stato fatto parte del segmento "SD-WAN". Verrà visualizzato il numero della regola del criterio di collegamento in uso, come illustrato nell'immagine seguente.

    2. Gli allegati di connessione sono configurati in "Tunnel-less (nessun incapsulamento)". La configurazione Connetti collegamento deve specificare un collegamento VPC esistente come ID del collegamento di trasporto, quindi è necessario prima configurare il collegamento VPC. Come per il collegamento VPC, è necessario configurare i tag per l'appartenenza al segmento.

      Se il criterio è stato configurato correttamente, il collegamento dovrebbe indicare che è stato fatto parte del segmento "SD-WAN". Si noti che viene visualizzato il numero della regola del criterio di collegamento in uso, così come lo è "NO_ENCAP" per il protocollo Connect. Vedere l'immagine seguente.

  5. Connetti peers: i peer di connessione vengono creati sotto l'allegato di connessione. Questo è il punto in cui i peering BGP di SD-WAN vEdge vengono definiti in termini di ASN e indirizzo IP peer. Vedere l'immagine seguente.

Una volta creata, la console AWS fornirà due indirizzi IP peer BGP di rete core da utilizzare sul lato SD-WAN del router adiacente BGP. Questi IP verranno selezionati in modo casuale dall'intervallo CIDR interno definito nella parte "Posizioni Edge" del criterio precedente. Vedere l'immagine seguente.

Configurazione VMware SD-WAN

A questo punto, è necessario configurare i router adiacenti BGP in modo che puntino ai due indirizzi IP forniti dalla console AWS in Connetti peer (Connect Peers). Poiché questi IP del router adiacente BGP provengono dall'intervallo CIDR interno definito nel criterio, è necessario creare route statiche nell'Edge per puntare agli IP del router adiacente CNE utilizzando l'interfaccia instradata lato LAN (GE3).
Nota: Ogni peer di connessione otterrà indirizzi IP del peer della rete principale BGP diversi, pertanto le configurazioni della route statica e del router adiacente BGP saranno diverse per ogni vEdge in un cluster hub AWS.
  1. Configurare le impostazioni di routing statiche, come illustrato nell'immagine seguente.

  2. Quando si creano i router adiacenti BGP, impostare "Hop max" su 2 o più in Opzioni aggiuntive (Additional Options). Vedere l'immagine seguente.
  3. Utilizzare Monitora (Monitor) > Routing > Stato router adiacente BGP Edge (BGP Edge Neighbor State) per verificare che la relazione peer BGP sia stata Stabilita con gli IP del router adiacente configurati. Per una visualizzazione della schermata Routing, vedere l'immagine seguente.